Wirus

[idefikx]

Witam ostatnio cos tworzy mi pliki w C:\Users\zby\AppData\Local\temp i nie wiem z jakiego powodu ciagle wyskakuja trojany wykradacze hasel uzywam antywirusa Anti Malwarebytes

Prosze o przeniesienie do prawidlowego dzialu bo teraz zobaczylem ze popelnilem gafe

[diox]

Zanim temat zostanie przeniesiony podaj logi z OTL: http://www.fixitpc.p...p__324#entry324

Jeśli system 32-bitowy to dołącz również log z GMER-a: http://www.fixitpc.p...p__318#entry318

 

Zgłosiłem już moderatorom aby przesunięto temat do odpowiedniego działu.

[idefikx]

GMER już mi wyszukał rootkita

[diox]

Podaj te logi na forum w formie załączników.Log z GMER-a też.

Potem poczekaj aż moderator przeniesie temat do odpowiedniego działu.

Edytowane 19 Stycznia 2013 przez DawidS28
Przenoszę do Działu pomocy doraźnej.

[idefikx]

Niestety podczas połowy wyskakuje bluescreen więc nie da rady

 

O to wszystko:

Extras.Txt

OTL.Txt

[picasso]

diox

 

GMER jest już kompatybilny z x64.

 

 

idefikx

 

GMER już mi wyszukał rootkita

 

Muszę otrzymać te dane. Co widzisz w oknie? Poza tym:

 

 

Niestety podczas połowy wyskakuje bluescreen więc nie da rady

 

GMER zrobiłeś w złym środowisku, nie zrealizowałeś ogłoszenia: KLIK. Działają w tle sterowniki emulatora napędów wirtualnych:

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (afvwaf31)
DRV - [2012-08-26 06:22:37 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)
DRV - [2013-01-18 19:05:13 | 000,242,240 | ---- | M] (DT Soft Ltd) [Kernel | System | Running] -- C:\Windows\System32\drivers\dtsoftbus01.sys -- (dtsoftbus01)

 

Należy: odinstalować emulatory, odinstalować sterownik SPTD narzędziem SPTDinst, zresetować system i ponowić skan GMER.

 

 

 

.

[idefikx]

Log:

GMER.txt

[picasso]

Nie wygląda na to, że odinstalowałeś sterownik SPTD. Masa odczytów. A ten odczyt z afvwaf31.SYS:

 

---- Kernel code sections - GMER 2.0 ----
 
?         C:\Windows\System32\Drivers\afvwaf31.SYS       suspicious PE modification

 

... to nie jest rootkit tylko produkt uboczny sterownika SPTD od emulatora:

 

DRV - File not found [Kernel | On_Demand | Unknown] --  -- (afvwaf31)
DRV - [2012-08-26 06:22:37 | 000,477,240 | ---- | M] (Duplex Secure Ltd.) [Kernel | Boot | Running] -- C:\Windows\System32\drivers\sptd.sys -- (sptd)

 

Powtarzam, masz odinstalować sterownik SPTD narzędziem SPTDinst wg kroków z: KLIK. Po tym restart systemu i nowy log z GMER.

 

I jeszcze odpowiedz mi na pytanie:

 

ostatnio cos tworzy mi pliki w C:\Users\zby\AppData\Local\temp i nie wiem z jakiego powodu ciagle wyskakuja trojany wykradacze hasel uzywam antywirusa Anti Malwarebytes

 

Ale gdzie / w czym / w jakiej ścieżce (konkretne nazwy plików).

 

 

 

.

[idefikx]

Nazwy plików są różne np rpok dsfqwh i wszystkie są w formacie .exe

 

Wrzucam linka ze zdjęciem które niedawno zrobiłem

[picasso]

Te wyniki MBAM, podobnie jak kilka innych elementów w skanie OTL, sugerują wirusa Sality. Wirus ten atakuje wszystkie wykonywalne na wszystkich dyskach. Być może format na widoku, a zależy to od (nie)skuteczności leczenia.

 

1. Pobierz SalityKiller. Wykonaj nim skan do skutku (powtarzany wielokrotnie, dopóki nie uzyskasz zwrotu zero zainfekowanych).

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Windows\System32\SZSDZNKB
C:\Users\zby\AppData\Roaming\winsvcns.sys
C:\Users\zby\AppData\Roaming\70F104
C:\Users\zby\AppData\Roaming\OpenCandy
netsh firewall reset /C
netsh advfirewall reset /C
 
:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&q={searchTerms}"
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682"
IE - HKLM\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120527194600287&tb_oid=27-05-2012&tb_mrud=27-05-2012"
IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=110824&tt=4612_2&babsrc=SP_ss&mntrId=2c70f10400000000000000ff1b34581a"
IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "http://isearch.avg.com/search?cid={4B54AD15-2D45-4E1A-A737-0F4E363BBFF1}&mid=5b7b2d484cf54d969b59393d739f7977-2654f86fba9c5fa0b224b163c5b4cdc8cbcb2431&lang=pl&ds=ax011&pr=&d=2012-12-09 13:43:30&v=13.2.0.4&sap=dsp&q={searchTerms}"
IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://www.bigseekpro.com/search/browser/hypercam/{2033310F-F5C0-4A6C-8DA9-58F643227394}?q={searchTerms}"
IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = "http://dts.search-results.com/sr?src=ieb&appid=101&systemid=406&q={searchTerms}"
IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB9}: "URL" = "http://www.daemon-search.com/search/web?q={searchTerms}"
IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2776682"
IE - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\..\SearchScopes\{EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C}: "URL" = "http://slirsredirect.search.aol.com/redirector/sredir?sredir=2685&query={searchTerms}&invocationType=tb50-ie-winamp-chromesbox-en-us&tb_uuid=20120527194600287&tb_oid=27-05-2012&tb_mrud=27-05-2012"
FF - HKLM\Software\MozillaPlugins\@gamersfirst.com/LiveLauncher:  File not found
FF - HKLM\Software\MozillaPlugins\@nexon.net/NxGame: C:\ProgramData\NexonUS\NGM\npNxGameUS.dll File not found
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\ProgramData\AVG Secure Search\FireFoxExt\13.2.0.4 File not found
IE - HKLM\..\URLSearchHook: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} - No CLSID value found
O2 - BHO: (no name) - {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O7 - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKU\S-1-5-21-4279762936-2041923811-3607526187-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab" (Reg Error: Value error.)
SRV - File not found [On_Demand | Stopped] -- C:\Users\zby\AppData\Local\Temp\ZDEVHOUYS.exe -- (ZDEVHOUYS)
SRV - File not found [On_Demand | Stopped] -- C:\Users\zby\AppData\Local\Temp\BIDHKIOFQVD.exe -- (BIDHKIOFQVD)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\12D5.tmp -- (MEMSWEEP2)
DRV - File not found [Kernel | Auto | Stopped] -- C:\Windows\system32\drivers\EIO.sys -- (EIO)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleXNt.sys -- (EagleXNt)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Windows\system32\drivers\EagleNT.sys -- (EagleNT)
DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ComboFix\catchme.sys -- (catchme)
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"bProtectorDefaultScope"=-
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Przez Panel sterowania spróbuj odinstalować adware AVG Security Toolbar, Babylon Chrome Toolbar, Conduit Engine, DownTango, QuickStores-Toolbar 1.1.0, Yontoo 1.10.02 oraz zbędne aplikacje Akamai NetSession Interface, Dll-Files.com Fixer. Nie wszystko może być wykonalne, trudno przewidzieć tu co będzie możliwe, skoro wirus Sality tu siedzi.

 

4. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

5. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

6. Zrób nowe logi: OTL z opcji Skanuj (by ponownie powstał plik Extras, opcja "Rejestr - skan dodatkowy" ma być ustawiona na "Użyj filtrowania"), prawidłowy GMER pozbawiony zaciemniącej wyniki pracy emulatora (prosiłam: usuń sterownik SPTD narzędziem SPTDinst + restart) oraz USBFix z opcji Listing. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

Edytowane 23 Lutego 2013 przez picasso
23.02.2013 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso